GDPR이 비즈니스에 도움이 될 수 있는 방법에 대한 준비

개인 정보 보호 및 데이터 보호는 단순한 유행어가 아닙니다. 데이터 침해 및 사이버 보안 위협이 증가함에 따라 소비자의 개인 정보가 손상되고 소비자 신뢰가 손상되는 심각한 소비자 문제입니다.

5개국 7,500명을 대상으로 설문조사를 실시한 RSA의 데이터 개인정보 보호 및 보안 설문조사에 따르면 소비자들은 온라인 보안 침해에 더 많은 주의를 기울이고 있다고 보고했습니다. 그리고 그들은 정보가 도난 당했을 때 회사에 책임을 묻습니다.

다음은 해당 설문 조사의 두 가지 주요 결과입니다.

• 응답자의 73%는 5년 전보다 데이터 침해에 대해 더 잘 알고 있습니다.
• 62%는 해커를 비난하기 전에 데이터를 잃어버린 회사를 비난할 것이라고 말했습니다.

전반적으로 소비자들은 디지털 개인 정보를 더 많이 보호하고 있음을 보여주고 있습니다. 소비자 데이터 침해가 사전에 계획된 절도 또는 개인 정보의 대량 침해를 수반할 필요는 없음을 기억하십시오. 제3자가 회사의 이메일 구독자 목록을 구매한 다음 해당 목록에 원치 않는 이메일을 보내는 경우에도 데이터 유출이 구성될 수 있습니다.

이러한 활동 중 어느 것도 소비자와 잘 맞지 않으며 이러한 소비자 감정으로 인해 기업은 온라인에서 소비자 데이터를 보호하는 방법을 재고해야 합니다.

이러한 감정은 또한 정부가 소비자 정보 보호를 규제하는 데 보다 적극적인 접근 방식을 취하도록 강요하고 있습니다. 일부 정부는 누가 데이터를 저장하든 상관없이 소비자에게 데이터 소유권을 더 많이 부여하는 법률을 제정하기 시작했습니다.

그러한 규정 중 하나는 2018년 5월 25일부터 발효되는 유럽 연합의 GDPR(일반 데이터 보호 규정)입니다. 이 데이터 보호 표준은 소비자가 자신의 데이터에 액세스할 수 있는 사람에 대한 동의를 승인하거나 보류할 수 있도록 권한을 부여하도록 설계되어 심각한 문제를 야기합니다. 전자 상거래 회사를 위해.

그러나 기업이 소비자와 더 나은 관계를 구축할 수 있는 기회로 환영해야 하는 과제입니다.

소비자가 데이터 침해에 대해 회사를 비난할 가능성이 더 크면 데이터를 보호하기 위해 그들과 협력하는 회사를 칭찬할 가능성도 더 높을 수 있습니다. 따라서 조직은 GDPR 준수를 위해 신속하게 노력하여 소비자를 보호하기를 원한다는 것을 보여주는 것이 현명할 것입니다.

GDPR의 범위

일반 데이터 보호 규정은 유럽 연합의 모든 28개 회원국에서 데이터 보호법을 표준화합니다. 이 규정의 주요 목표는 EU 국가 전반에 걸쳐 소비자 데이터를 보다 일관되게 보호하는 것입니다.

GDPR은 200페이지가 넘는 90개 이상의 기사를 포함하는 매우 포괄적인 규정입니다. Digital Guardian의 Nate Lord는 기업에 중대한 영향을 미칠 GDPR의 몇 가지 주요 요구 사항을 정확히 지적합니다.

• 데이터 처리에 대한 동의
• 익명의 투명한 데이터
• 데이터 침해 알림
• 삭제할 권리
• 데이터 보호 담당자
• 불이행에 대한 처벌

MarTech Today가 언급한 바와 같이, 핵심 GDPR 보호는 명확하고 간결한 프로세스와 커뮤니케이션을 시행하며, 이는 소비자의 명시적이고 긍정적인 동의 하에 이루어집니다. 이를 위해 GDPR은 개인을 직간접적으로 식별하는 데 사용할 수 있는 모든 정보를 보호합니다. 여기에는 기본적인 식별 정보, 웹 데이터, 건강 데이터, 민족 데이터 및 정치적 의견이 포함됩니다.

GDPR을 준수하기 위해 기업은 소비자의 개인 데이터를 신중하게 처리하고 소비자가 원하는 경우 정보를 제어, 모니터링 및 삭제할 수 있는 다양한 방법을 소비자에게 제공해야 합니다.

GDPR은 두 가지 기본 엔터티 그룹에 적용됩니다.

• EU에 위치한 회사
• EU에 소재하지 않고 무료 또는 유료 상품 또는 서비스를 제공하거나 EU 거주자의 행동을 모니터링하는 회사

따라서 주로 미국 소비자에게 판매하는 미국 기반 전자 상거래 회사의 경우에도 AdWords 리타게팅 캠페인만큼 간단한 것이 EU 거주자의 행동을 모니터링하는 것으로 간주될 수 있습니다.

비 EU 전자 상거래 회사의 경우 GDPR을 준수하거나 EU 소비자 시장에 대한 액세스 권한을 완전히 상실하는 두 가지 옵션이 있습니다.

두 번째 옵션은 번거롭고 근시안적입니다. EU 시민이 귀하의 사이트에서 윈도우 쇼핑을 하는 것을 차단하려면 얼마나 많은 노력이 필요할지 생각해 보십시오.

대신, 현명한 움직임은 GDPR을 준수하고 결과적으로 마케팅 및 판매 대상인 소비자의 요구를 존중하는 것입니다.

GDPR이 전자상거래에 좋은 이유

Egnyte의 공동 설립자이자 최고 보안 책임자인 Kris Lahiri는 GDPR을 통해 소비자가 회사에 위탁한 데이터를 훨씬 더 많이 제어할 수 있다고 말했습니다.

여기서 핵심 아이디어는 "신뢰"입니다. GDPR은 B2C 관계에 대한 새로운 기본 규칙을 설정하려고 하며, 이 새로운 환경에서 소비자 직접 판매의 성공은 신뢰성을 입증하는 소매업체의 능력에 달려 있습니다. 지금까지 살펴본 바와 같이 소비자의 거의 2/3가 데이터 보호에 대한 책임은 데이터를 수집하는 회사에 있다고 주장합니다. 법이 요구하는 만큼 그 책임을 진지하게 받아들임으로써 온라인 소매업체는 소비자에게 자신의 신뢰성을 입증할 수 있습니다.

다시 말하지만 GDPR은 단순한 데이터 보안 조치가 아닙니다. 이것은 기업이 자신의 데이터에 대한 소유권에 대한 EU 소비자의 권리를 존중하도록 강요하는 진보적인 법률입니다. 이 법은 무엇보다도 EU 시민이 해당 대화에 먼저 참여하지 않고는 마케팅 메시지의 표적이 되지 않을 권리가 있다고 명시하고 있습니다.

시간이 지남에 따라 소비자 충성도를 얻어야 하는 전자 상거래와 같은 산업에서 소비자의 개인 정보 보호 권리를 존중하는 것은 단순히 좋은 일이 아닙니다.

신뢰의 기본 요소입니다.

엄청난 숫자: 규정 준수에 대한 사전 대응을 위한 비즈니스 사례

규정을 준수해야 하는 기업의 워크로드는 조직의 현재 보안 구조 및 프로세스, GDPR과 얼마나 다른지에 따라 잠재적으로 무거울 수 있습니다. GDPR 준수는 또한 기업에 막대한 비용이 소요될 가능성이 있습니다. 2018년 3월의 Propeller Insights 설문조사에 따르면 기업의 36%가 GDPR 준수 노력에 $50,000~$100,000를 지출할 계획입니다. 또 다른 24%는 $100,000에서 $1백만 사이를 지출할 것입니다.

그러나 이러한 금전적 투자는 소비자가 조직에 대한 신뢰를 잃는 경우 비즈니스 손실에 비하면 하찮을 수 있습니다. 온라인에서 개인 정보를 보호하는 것은 소비자에게 가장 중요하며, 소비자는 자신을 보호하기 위해 충분한 조치를 취하지 않는 회사에 피해를 줄 수 있는 힘이 있습니다.

GDPR 준수를 위한 노력에서 조직은 규제를 소비자와 더 나은 관계를 구축하는 데 사용할 수 있는 건전한 비즈니스 관행으로 전환할 수 있습니다.

또한 비즈니스 관점에서 규정 준수를 위해 사전에 시간과 비용을 투자하면 비용이 많이 드는 위반을 방지하여 장기적으로 기업의 비용을 절약할 수 있습니다. Ponemon Institute의 2017년 데이터 유출 비용 연구에 따르면 데이터 유출의 평균 비용은 362만 달러입니다. 예방할 수 있는 상당한 금액입니다.

GDPR의 보안 요구 사항을 구현함으로써 기업은 나중에 7자리 금액을 지불하지 않아도 되도록 지금 5자리 금액을 지출할 수 있습니다.

GDPR 규정 준수를 준비하는 방법

GDPR 준비는 조직마다 다르지만 전자 상거래 회사가 올바른 방향으로 나아가기 위해 취할 수 있는 몇 가지 기본 단계는 다음과 같습니다.

1. 모든 이해 관계자를 참여시키십시오

가장 먼저 할 일은 조직의 모든 수준에서 팀 구성원을 포함하는 GDPR 태스크 포스를 설정하는 것입니다. 소비자 데이터를 수집, 분석, 처리 또는 상호 작용하는 회사 내 모든 그룹이 포함되어야 합니다. 이러한 팀 구성원은 GDPR 준수에 필요한 변경을 구현하고 해당 팀에 미치는 영향을 처리하는 데 도움이 될 수 있는 모든 정보를 쉽게 공유할 수 있습니다.

태스크 포스에 동기를 부여하기 위해 Marsh & McLennan의 Peter Beshar는 기업이 경영진 수준에서 조직을 통해 흘러내리고 규정 준수의 중요성을 촉진하는 인식과 긴급성의 분위기를 조성할 것을 권장합니다.

더 많은 영향을 미치도록 규정을 개인화하십시오. 아무도 자신의 개인 정보가 손상되는 것을 원하지 않습니다. 규정 준수의 중요성을 강조할 때 이 각도를 사용하십시오. 개인화함으로써 팀 구성원은 조직이 규정을 준수하도록 하는 데 필요한 작업의 가치를 더 잘 이해할 수 있습니다.

GDPR은 광범위합니다. 모든 이해 관계자는 교육 세션 개발, 정보 리소스 제공 및 정기적으로 직원과의 컨설팅을 포함하는 GDPR 요구 사항에 대한 교육을 받아야 한다고 Above The Law의 창립 편집자인 David Lat은 설명합니다. 모든 사람이 자료를 이해하고 소화할 수 있는 방식으로 정보를 제공하는 것이 중요하므로 포스터 및 비디오와 같은 시각 자료는 GDPR의 복잡성을 설명하는 훌륭한 도구가 될 수 있습니다.

2. SIEM 도구 구현

GDPR은 컨트롤러가 책임 하에 모든 처리 활동을 추적하고 기록할 것을 요구하며 대부분의 조직은 이를 수행하기 위해 SIEM(보안 정보 및 이벤트 관리) 도구를 사용한다고 정보 보안 회사 AlienVault의 보안 옹호자인 Javvad Malik은 말합니다.

SIEM 도구는 하드웨어 및 소프트웨어 시스템 네트워크에서 데이터를 수집하고 실시간으로 데이터를 분석하여 이벤트의 상관 관계를 파악하고 보안 위반을 나타낼 수 있는 동작 패턴이나 이상을 찾아낸다고 기술 작가 Paul Rubens가 eSecurity Planet 보고서에서 설명합니다. SIEM 도구는 다양한 장치에서 보안 로그를 관리하고, 위협을 탐지하고, 침해를 방지 및 감지하고, 보안 이벤트가 발생한 방법과 잠재적 영향을 결정하기 위한 포렌식 증거를 제공한다고 Rubens는 말합니다.

SIEM 도구를 구현하기 전에 소비자의 개인 정보에 액세스할 수 있는 모든 중요한 자산의 인벤토리를 생성해야 한다고 Malik은 제안합니다. 인벤토리에 모바일 장치를 포함하는 것을 잊지 마십시오. 모바일 보안 회사 Lookout, Inc.의 설문 조사에 따르면 기업 직원의 63%가 모바일 장치에서 고객, 파트너 및 직원 데이터에 액세스합니다.

이 정보를 알면 SIEM 시스템에 의한 데이터 수집에 필요한 모든 시스템이 포함됩니다.

3. 위험 평가 수행

매우 넓은 의미에서 GDPR 규정은 기업이 시스템이 직면한 위험에 적절한 보안 조치를 구현하도록 요구합니다. 규정은 의도적으로 위험을 정의하지 않으므로 위험에 접근하고 GDPR 준수를 달성하는 최선의 방법을 결정하는 것은 조직에 달려 있습니다.

철저한 위험 평가에는 위험 식별과 식별된 위험에 대처하기 위한 완화 계획 수립이 모두 포함됩니다. 사이버 보안 및 규정 준수 회사 Netwrix의 EMEA 총책임자인 Matt Middleton-Leal은 위험 평가를 수행하기 위한 기업의 노력에 있어 몇 가지 단계를 제안합니다.

• 영감을 얻기 위해 대체 규정 준수 표준을 검토합니다(예: PCI, DSS).
• 모든 사람이 모든 데이터 요소와 민감도를 알고 이해할 수 있도록 데이터를 분류합니다.
• 특정 위험을 식별하고 위험/이익 비율에 가중치를 둡니다.
• 지속적으로 평가합니다.

전체 GDPR 준수 프로세스 전반에 걸쳐 법무팀과 상의하는 것이 가장 좋지만, 특히 이 단계는 법무팀이 중요한 파트너가 될 수 있는 단계입니다. 법무팀은 위험 평가를 조정하고 지속적인 계획을 지원하며 규정 준수 여부를 지속적으로 확인하는 데 도움을 줄 수 있습니다.

4. 위협 탐지 제어 구현

GDPR에 따르면 기업은 72시간 이내에 보안 침해를 보고해야 합니다. 이러한 요구를 충족하기 위해 조직은 위반이 발생할 때 즉각적인 경고를 트리거할 수 있는 적절한 위협 탐지 제어 기능을 갖추고 있어야 합니다. 통제는 그 짧은 시간 내에 응답을 허용하기에 충분해야 합니다.

데이터 보안 회사 Imperva의 Sara Pan은 다음과 같은 질문을 제안합니다.

• "누가 데이터에 액세스하고 있습니까?"
• "사용자에게 적절한 액세스 권한이 있습니까?"
• "가장 빠른 발생 반응을 얻으려면 어떻게 해야 합니까?"

위협 탐지는 설정하고 잊어버리는 프로세스가 아닙니다. 내부 및 외부 위협에 대한 지속적인 모니터링이 필요하므로 기업에서도 지속적인 평가를 위한 프로세스를 설정하고 상세한 사고 대응 계획을 수립하는 것이 중요합니다. 대응 계획은 사건 조사에 집중하여 출처와 사건을 억제하는 프로세스를 결정해야 합니다.

이러한 프로세스와 계획을 정기적으로 테스트함으로써 기업은 GDPR을 준수하는 방식으로 위협과 공격에 더 잘 대응할 수 있습니다.

이것은 소비자 데이터 보호를 옹호할 기회입니다

GDPR은 2018년 5월 25일부터 규정을 준수하지 않는 회사에 금전적 벌금을 부과할 계획입니다. 조직이 알아야 하는 두 가지 수준의 벌금이 있으며 GDPREU.org에 더 자세히 설명되어 있습니다.

• 하위 수준: 최대 1천만 유로 또는 이전 회계 연도의 전 세계 연간 수익의 2% 중 더 높은 금액.
• 상위 레벨: 최대 2천만 유로 또는 이전 회계 연도의 전 세계 연간 수익의 4% 중 더 높은 금액.

벌금이 만만치 않지만 기업은 처벌을 피하기 위해 지름길을 택하는 것이 아니라 데이터 보호 및 개인 정보를 보장하기 위해 적절한 프로세스를 구현하는 데 더 중점을 둘 필요가 있습니다. 벌금을 피하기 위해 프로세스를 우회하려고 시도하는 조직은 규제 기관뿐만 아니라 비즈니스를 유지하는 소비자의 분노를 감수해야 합니다. GDPR은 기업을 처벌하기 위해 통과된 것이 아니라 소비자를 보호하기 위해 통과되었습니다.

이러한 목표를 염두에 두고 조직은 소비자에게 개인 정보 보호에 관심이 있으며 소비자의 최대 이익을 염두에 두고 보안 조치를 기꺼이 시행할 의사가 있음을 보여주도록 동기를 부여해야 합니다. 규정 준수에 사용된 모든 에너지와 자원은 소비자가 신뢰하는 회사와 비즈니스를 하고자 할 때 보상을 받을 것입니다.

하지만 기업의 헌신적인 노력이 필요할 것입니다. 5월 25일 마감일이 다가오면서 조직은 GDPR 준수를 적극적으로 추구해야 합니다.

면책 조항: 이 간행물은 어떠한 종류의 법적 조언도 구성하지 않으며 귀하가 자격을 갖춘 변호사로부터 자신의 법적 조언을 얻는 것을 방해해서는 안 됩니다. 또한 이 문서는 법적 구속력이 있는 문서가 아니며 실행을 위한 문서도 아닙니다. 이 기사에 제공된 내용은 변경될 수 있으며 해당 법률의 요구 사항을 전체적으로 반영하지 않습니다. 이 간행물을 제공함에 있어 Scalefast는 법적 구속력이 있는 문서를 실행하고 언제든지 어떤 종류의 책임도 지지 않고 논의를 철회할 권리를 보유한다고 진술하지 않습니다.

이미지 제공: Comfreak, rawpixel.com, 무료 사진